本文源自课程实验,实验内容如下:
在进行IP-Table设置前需要搭建实验环境,实验所需的环境配置如下图所示:
其中,1号机、4号机为内网计算机,2号机为网关,3号机为外网计算机。实验环境搭建成功之后,需要完成下面的实验步骤:
Part A
1、在2号机上用NAT表的POSTROUTING链配置NAT
1)伪装(MASQUERADE)包使内网的IP地址对外网隐藏
2)1号机和4号机,只允许通过SSH连接到外网
2、此步骤的NAT配置在整个实验过程中持续有效
Part B
为来自或者到达2号机(网关)的包编写规则,到达以下目的:
1、允许来自或者到达2号机的SSH连接
2、阻断来自或者到达2号机的其他所有通信
3、提示:Part B需要INPUT和OUTPUT链,但不需要FORWARD链
Part C
1、清除Part B中filter表设置的规则
2、仅允许1号机(不允许4号机)向外网中的3号主机发起SSH通信
3、阻断其他所有通信
4、提示:Part C需要FORWARD,INPUT和OUTPUT链
说明
- 这里是关于iptables的详细说明https://wangchujiang.com/linux-command/c/iptables.html
- 参考了这篇报告,但里面也有些许错误https://wenku.baidu.com/view/f493fa40ddccda38376bafd4.html
- ubuntu下载https://cn.ubuntu.com/download
- winsshd的安装参考https://www.linuxidc.com/Linux/2017-07/145984.htm
- ubuntu开启ssh服务https://www.cnblogs.com/jiarenanhao/p/9938280.html
- 在进行ssh连接时出现了错误nomatching host host key type found. Their offer:ssh-dss,按照这个方法解决https://www.cnblogs.com/VkeLixt/p/9978997.html
环境配置
网络拓扑如下
实验中m1 m2 m4都为虚拟机中装的ubuntu系统,m1,m4作为内网计算机,m2作为网关,m3为自己的本机作为外网主机
对m2的配置
M4配置同m1,只是ip不同
新增网卡
对新增的网卡进行配置
查看详细配置情况
对m1配置
查看配置情况
验证配置情况
1和2 能相互Ping通
2号能和外网相互Ping通
1号不能和外网Ping通
Part a
现在本机用winssd打开ssh服务,并建立一个虚拟账户guoguo
开启ssh服务
接下来操作需要高权限,换为root用户
清空filter表的所有链
清空nat表的所有链
修改filter表的默认规则,这里图中最后一行配置错误,之后进行了修改
修改如下
配置postrouting链,并保存
配置转发
验证
进行ssh连接
查看连接Ip不是内网ip10.0.0.2,实现了ip隐藏
Part b
修改filter表,禁止转发链,允许2号Ping和ssh
验证
2ping外网
外网ping2
2号连接ssh
2号进行其它连接失败
Part c
清空filter表的设置
只允许1号向外网ssh连接
验证
1号连接
4号连接
4号ip是10.0.0.3
不能连接